forum.opennet.ru

Форум Информационная безопасность (Шифрование, SSH, SSL)
Вариант для распечатки		Пред. тема \| След. тема
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Оглавление

Шифрование разделов LUKS, sheff.artx (ok), 03-Сен-23, (0) [смотреть все]

https wiki archlinux org title Dm-crypt Encrypting_an_entire_system Overview, Аноним (1), 12:58 , 03-Сен-23, (1) //

Если правильно понял вводные, то недостатки такие нужно помнить фиксированные , Аноним (1), 13:09 , 03-Сен-23, (2) //

Спасибо за ответ и, как я понял особой разницы нет, т к автоматического монтиро, sheff.artx (ok), 13:40 , 03-Сен-23, (3) //

Я по-началу тоже так предполагал Но бэкапы - такая штука, которую очень желател, Аноним (1), 16:17 , 03-Сен-23, (4)

Если для бэкапа используется выделенный диск ЦЕЛИКОМ, то разбивать его на раздел, Аноним (5), 09:28 , 09-Сен-23, (5)
Бекапить на съёмный, шифрованный, жесткий диск, это хорошо Придерживаюсь мнения,, Аноним (6), 15:57 , 09-Сен-23, (6) //

Согласен Возникает вопрос - а кому и как раздать ключи шифрования Ну, на случай, ACCA (ok), 06:47 , 12-Сен-23, (7) //

В случае использования шифрования LUKS есть возможность установки нескольких пар, Аноним (8), 10:54 , 12-Сен-23, (8)

Ссылка на пример полнодискового шифрования для ноута https www opennet ru ope, Аноним (10), 08:28 , 18-Сен-23, (10)
Часто используют связку LUKS - LVM Сначала шифруют физичский диск и уже его ра, Аноним (11), 14:49 , 20-Сен-23, (11)

Сообщения [Сортировка по времени | RSS]

1. "Шифрование разделов LUKS" +/–

Сообщение от Аноним (1), 03-Сен-23, 12:58

https://wiki.archlinux.org/title/Dm-crypt/Encrypting_an_enti...

Ответить | Правка | Наверх | Cообщить модератору

2. "Шифрование разделов LUKS" +/–

Сообщение от Аноним (1), 03-Сен-23, 13:09

Если правильно понял вводные, то недостатки такие:
* нужно помнить фиксированные настройки шифрования.
* systemd не сможет автоматически смонтировать корневой раздел. Для бэкап-диска - без разницы.
* один ключ шифрования, нельзя использовать слоты. Для бэкап-диска может быть удобно иметь несколько разных ключей: для автоматического монтирования службами целевых систем (на их ФС) и для ручного расшифрования (в голове);
А в чем проблема сделать раздел на весь бэкап-диск, а потом его весь зашифровать?

Ответить | Правка | Наверх | Cообщить модератору

3. "Шифрование разделов LUKS" +/–

Сообщение от sheff.artx (ok), 03-Сен-23, 13:40

> Если правильно понял вводные, то недостатки такие:
> * нужно помнить фиксированные настройки шифрования.
> * systemd не сможет автоматически смонтировать корневой раздел. Для бэкап-диска - без
> разницы.
> * один ключ шифрования, нельзя использовать слоты. Для бэкап-диска может быть удобно
> иметь несколько разных ключей: для автоматического монтирования службами целевых систем
> (на их ФС) и для ручного расшифрования (в голове);
> А в чем проблема сделать раздел на весь бэкап-диск, а потом его
> весь зашифровать?
Спасибо за ответ и, как я понял особой разницы нет, т.к. автоматического монтирования не предвидится и монтирую руками и только я.

Ответить | Правка | Наверх | Cообщить модератору

4. "Шифрование разделов LUKS" +/–

Сообщение от Аноним (1), 03-Сен-23, 16:17

> монтирую руками и только я
Я по-началу тоже так предполагал. Но бэкапы - такая штука, которую очень желательно делать часто, а значит это должно быть легко и удобно. Иначе быстро надоедает, появляются задержки между бэкапами и риск потери свежих данных растет. К тому же, риск раскрыть пароль при вводе с клавиатуры обычным пользователем значительно выше, чем при монтировании ключом, который видит только суперпользователь с также шифрованной ФС с ОС. К тому же, если для доступа к диску используется несколько устройств с разными ключами, можно легко сменить/удалить ключ только для скомпрометированного устройства.
Ну и, наконец, возможность перешифровать диск с новыми настройками налету. Например, при устаревании (вычислительной сложности) или компрометации алгоритмов шифрования. Или просто под новый процессор, который имеет инструкции/модуль для более быстрой работы с каким-то конкретным шифром.
Короче, заголовки LUKS - это очень гибко и удобно.
> особой разницы нет
Есть ещё похожий, но более гибкий вариант: хранить заголовки LUKS на отдельном от диска устройстве. Диск будет а-ля plain-dmcrypt, но заголовки, например, на флэшке, позволят легко менять настройки/ключи шифрования. Цена: потеря данных при потере флэшки.
Подробнее:
https://wiki.archlinux.org/title/Dm-crypt/Specialties#Encryp...

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Шифрование разделов LUKS"	+/–
Сообщение от Аноним (1), 03-Сен-23, 12:58
https://wiki.archlinux.org/title/Dm-crypt/Encrypting_an_enti...
Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "Шифрование разделов LUKS"	+/–
	Сообщение от Аноним (1), 03-Сен-23, 13:09
	Если правильно понял вводные, то недостатки такие: * нужно помнить фиксированные настройки шифрования. * systemd не сможет автоматически смонтировать корневой раздел. Для бэкап-диска - без разницы. * один ключ шифрования, нельзя использовать слоты. Для бэкап-диска может быть удобно иметь несколько разных ключей: для автоматического монтирования службами целевых систем (на их ФС) и для ручного расшифрования (в голове); А в чем проблема сделать раздел на весь бэкап-диск, а потом его весь зашифровать?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "Шифрование разделов LUKS"	+/–
	Сообщение от sheff.artx (ok), 03-Сен-23, 13:40
	> Если правильно понял вводные, то недостатки такие: > * нужно помнить фиксированные настройки шифрования. > * systemd не сможет автоматически смонтировать корневой раздел. Для бэкап-диска - без > разницы. > * один ключ шифрования, нельзя использовать слоты. Для бэкап-диска может быть удобно > иметь несколько разных ключей: для автоматического монтирования службами целевых систем > (на их ФС) и для ручного расшифрования (в голове); > А в чем проблема сделать раздел на весь бэкап-диск, а потом его > весь зашифровать? Спасибо за ответ и, как я понял особой разницы нет, т.к. автоматического монтирования не предвидится и монтирую руками и только я.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "Шифрование разделов LUKS"	+/–
	Сообщение от Аноним (1), 03-Сен-23, 16:17
	> монтирую руками и только я Я по-началу тоже так предполагал. Но бэкапы - такая штука, которую очень желательно делать часто, а значит это должно быть легко и удобно. Иначе быстро надоедает, появляются задержки между бэкапами и риск потери свежих данных растет. К тому же, риск раскрыть пароль при вводе с клавиатуры обычным пользователем значительно выше, чем при монтировании ключом, который видит только суперпользователь с также шифрованной ФС с ОС. К тому же, если для доступа к диску используется несколько устройств с разными ключами, можно легко сменить/удалить ключ только для скомпрометированного устройства. Ну и, наконец, возможность перешифровать диск с новыми настройками налету. Например, при устаревании (вычислительной сложности) или компрометации алгоритмов шифрования. Или просто под новый процессор, который имеет инструкции/модуль для более быстрой работы с каким-то конкретным шифром. Короче, заголовки LUKS - это очень гибко и удобно. > особой разницы нет Есть ещё похожий, но более гибкий вариант: хранить заголовки LUKS на отдельном от диска устройстве. Диск будет а-ля plain-dmcrypt, но заголовки, например, на флэшке, позволят легко менять настройки/ключи шифрования. Цена: потеря данных при потере флэшки. Подробнее: https://wiki.archlinux.org/title/Dm-crypt/Specialties#Encryp...
	Ответить \| Правка \| Наверх \| Cообщить модератору